Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

ESET: вредоносное ПО HotPage внедряет код в удалённые процессы и перехватывает трафик браузера

1
1 мин
В своём новом отчёте эксперты ESET обнаружили новую форму вредоносного ПО под названием HotPage.exe. Первоначально выявленное в конце 2023 года, это вредоносное ПО маскируется под установщик, который якобы улучшает работу веб-сайтов, блокируя рекламу и вредоносные веб-сайты. На самом деле вредонос внедряет код в удалённые процессы и перехватывает трафик браузера. Как описано в рекомендации, опубликованной компанией по кибербезопасности ESET, вредоносная программа HotPage может изменять, заменять или перенаправлять веб-контент и открывать новые вкладки в зависимости от определённых условий. Интересно, что встроенный драйвер HotPage.exe был подписан Microsoft, но приписан китайской компании Hubei Dunwang Network Technology Co., Ltd. Программное обеспечение HotPage, рекламируемое как «решение по безопасности» для пользователей, якобы было разработано для улучшения опыта серфинга интернета. Вместо этого оно перенаправляет пользователей на рекламу, связанную с играми, и собирает данные о ко

В своём новом отчёте эксперты ESET обнаружили новую форму вредоносного ПО под названием HotPage.exe. Первоначально выявленное в конце 2023 года, это вредоносное ПО маскируется под установщик, который якобы улучшает работу веб-сайтов, блокируя рекламу и вредоносные веб-сайты.

На самом деле вредонос внедряет код в удалённые процессы и перехватывает трафик браузера. Как описано в рекомендации, опубликованной компанией по кибербезопасности ESET, вредоносная программа HotPage может изменять, заменять или перенаправлять веб-контент и открывать новые вкладки в зависимости от определённых условий. Интересно, что встроенный драйвер HotPage.exe был подписан Microsoft, но приписан китайской компании Hubei Dunwang Network Technology Co., Ltd.

Программное обеспечение HotPage, рекламируемое как «решение по безопасности» для пользователей, якобы было разработано для улучшения опыта серфинга интернета. Вместо этого оно перенаправляет пользователей на рекламу, связанную с играми, и собирает данные о компьютере пользователя для статистических целей.

ESET сообщила об этой уязвимости в Microsoft 18 марта 2024 года после согласованного процесса раскрытия уязвимости. Microsoft удалила проблемный драйвер из каталога Windows Server 1 мая 2024 года. С тех пор ESET обозначила эту угрозу как Win{32|64}/HotPage.A и Win{32|64}/HotPage.B. Дальнейшее расследование показало, что компания Hubei Dunwang Network Technology Co., Ltd. использовала требования Microsoft к подписи кода драйвера для получения сертификата расширенной проверки (EV).

В ESET заявили, что это подчёркивает продолжающиеся злоупотребления системой доверия для подписания драйверов. Компания, зарегистрированная в начале 2022 года, имеет тёмное прошлое, а её домен, dwadsafe.com, сейчас отключен.

Полная версия отчёта доступна по ссылке.

Оригинал публикации на сайте CISOCLUB: "ESET: вредоносное ПО HotPage внедряет код в удалённые процессы и перехватывает трафик браузера".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются